Chtulhu Stealer è il nuovo malware-as-a-service che prende di mira macOS e può rubare password e dati sensibili

I ricercatori di sicurezza di Cado Security hanno individuato una nuova minaccia per i sistemi Mac che sarebbe in realtà in circolazione dalla fine dello scorso anno. Si tratta di Chtulhu Stealer, un malware-as-a-service che può sottrarre informazioni sensibili e riservati dai sistemi e dagli account degli utenti macOS.

Cthulhu Stealer si camuffa da software popolare per ingannare gli utenti, con i ricercatori di Cado Security che citano app quali CleanMyMac e Grand Theft Auto IV, ma anche Adobe GenP, uno strumento utilizzato per aggirare il modello di abbonamento delle applicazioni Adobe. Il malware viene distribuito come file immagine disco (DMG), formato con cui gli utenti Mac hanno particolare familiarità.

Il malware è capace di rubare password da iCloud Keychain, dati dai browser web e persino dettagli degli account Telegram. Si tratta, come dicevamo, di un malware-as-a-service poiché viene commercializzato sul dark web a 500 dollari al mese, potendo così essere utilizzato da criminali di varia levatura, anche da principianti con una certa disponibilità economica.

La strategia di infezione di Cthulhu Stealer è abbastanza subdola perché nonostante l’avviso di Gatekeeper, il sistema di sicurezza integrato di macOS, il malware riesce ugualmente a farsi strada nel sistema della vittima. Se l’utente ignora l’avvertimento, Chtulhu Stealer simula un prompt di sistema legittimo per ottenere la password dell’utente, una tattica già vista in altri malware come Atomic Stealer e MacStealer.

Una volta ottenuti i permessi necessari, Cthulhu Stealer riesce a passare al setaccio il sistema alla ricerca di dati sensibili. Oltre ai browser e al portachiavi, il malware può ottenere anche le informazioni di eventuali wallet di criptovalute presenti sul sistema, per inviare tutto ciò che riesce a trovare al server di comando e controllo dell’aggressore.

In questi casi è consigliabile adottare una strategia di attenta prevenzione, scaricando software solo da fonti affidabili come l’App Store o i siti web ufficiali degli sviluppatori, mostrando cautela verso qualsiasi app che richieda la password di sistema durante l’installazione e mantenendo il Mac aggiornato con le ultime patch di sicurezza di Apple.

In visione del lancio di macOS Sequoia, previsto per il prossimo mese, Apple sta implementando misure di sicurezza più severe, tra cui l’impossibilità di ignorare gli avvisi Gatekeeper: gli utenti dovranno obbligatoriamente passare per le impostazioni di sistema per autorizzare l’esecuzione di software non firmato, aggiungendo un livello di protezione in più contro potenziali minacce.